Ανακαλύφθηκε κακόβουλο λογισμικό Flagpro σε δίκτυα ιαπωνικών εταιρειών

Τις τελευταίες ημέρες του 2021, ερευνητές ασφαλείας εντόπισαν μια νέα οικογένεια κακόβουλου λογισμικού, η οποία χρησιμοποιείται σε επιθέσεις εναντίον ιαπωνικών εταιρειών. Ο παρόμοιος ένοχος αυτών των επιθέσεων είναι η ομάδα Advanced Persistent Threat (APT) που παρακολουθείται με το ψευδώνυμο BlackTech . Ειδικεύονται στην κατασκοπεία και το τελευταίο τους εμφύτευμα ονομάζεται Flagpro.

Το κακόβουλο λογισμικό Flagpro παραδίδεται στα θύματα μέσω μηνυμάτων ηλεκτρονικού ψαρέματος, τα οποία φαίνεται να είναι προσαρμοσμένα για κάθε θύμα. Οι εγκληματίες προσποιούνται ότι στέλνουν τα μηνύματα από αξιόπιστους συνεργάτες, αυξάνοντας έτσι τις πιθανότητες να καταλήξουν τα θύματα να αλληλεπιδράσουν με το μήνυμα. Το ψεύτικο email περιέχει ένα αρχείο που προστατεύεται με κωδικό πρόσβασης, το οποίο υποτίθεται ότι περιέχει σημαντικό περιεχόμενο. Ωστόσο, τα θύματα που το ανοίγουν θα δουν ένα έγγραφο XLSM, το οποίο παραδίδει το κακόβουλο λογισμικό Flagpro μέσω της έξυπνης χρήσης σεναρίων μακροεντολών.

Εάν η μακροεντολή εκτελεστεί με επιτυχία, το ωφέλιμο φορτίο κακόβουλου λογισμικού Flagpro θα απορριφθεί στον κατάλογο εκκίνησης των Windows, επομένως θα αποκτήσει επιμονή. Στη συνέχεια, η απειλή συνδέεται με έναν απομακρυσμένο διακομιστή μέσω του πρωτοκόλλου HTTP και στέλνει ορισμένες βασικές πληροφορίες για τον υπολογιστή του θύματος. Οι εγκληματίες μπορούν στη συνέχεια να χρησιμοποιήσουν το κακόβουλο λογισμικό Flagpro για να εκτελέσουν εντολές εξ αποστάσεως ή για να παραδώσουν επιπλέον ωφέλιμα φορτία.

Οι πρώτες παραλλαγές του Flagpro Malware χρονολογούνται από τον Ιούνιο του 2020 και φαίνεται ότι οι εγκληματίες έχουν κυκλοφορήσει αρκετές ενημερώσεις από τότε. Μία από τις πιο πρόσφατες παραλλαγές είναι σε θέση να κλείνει αυτόματα τα παράθυρα διαλόγου των Windows που θα μπορούσε να προκαλέσει η δραστηριότητα του εμφυτεύματος και να αποκαλύψει την παρουσία του. Φέρεται ότι είναι σε θέση να ανιχνεύσει τα συγκεκριμένα ονόματα διαλόγων στην Ιαπωνία, την Ταϊβάν, τα Κινέζικα και τα Αγγλικά – αυτό είναι πιθανό να σημαίνει ότι το κακόβουλο λογισμικό Flagpro πρόκειται να επιτεθεί και σε άλλες χώρες. Ο καλύτερος τρόπος για την προστασία δικτύων και συστημάτων από επιθέσεις BlackTech είναι να επενδύσετε σε ενισχυμένα μέτρα ασφαλείας, καθώς και να διασφαλίσετε ότι όλοι οι εργαζόμενοι είναι εξοικειωμένοι με τους κύριους μηχανισμούς διάδοσης κακόβουλου λογισμικού που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Μια προηγούμενη οικογένεια εμφυτευμάτων BlackTech είναι το κακόβουλο λογισμικό Gh0stTimes .